Keine Panik vor der PSD2-Richtlinie bei Online-Zahlungen

Aufgrund der PSD2-Richtlinie haben Banken Ihre Online-Transaktionen für Kunden überarbeitet. Wir haben zusammengefasst, wie sich die neue Richtlinie und ihre Verordnung auf Zahlungs-Dienstleister und den Online-Handel auswirkt.

IT-Sicherheit

Keine Panik vor der PSD2-Richtlinie bei Online-Zahlungen

Aufgrund der PSD2-Richtlinie haben Banken Ihre Online-Transaktionen für Kunden überarbeitet. Wir haben zusammengefasst, wie sich die neue Richtlinie und ihre Verordnung auf Zahlungs-Dienstleister und den Online-Handel auswirkt.

Mit Inkrafttreten der delegierten Verordnung (EU) 2018/389 der Europäischen Kommission auf Grundlage der PSD2 Richtlinie (EU) 2015/2366 am 14. September 2019 gibt es neue Vorgaben in Bezug auf Online-Transaktionen.

Die Richtlinie und ihre Verordnung schreiben eine „starke Kundenauthentifizierung“ vor, um die Identität des Kunden und damit auch dessen Zahlungsabsicht zu verifizieren. Ziel ist den Verbraucher vor Missbrauch durch Dritte zu schützen.

In Art. 4 der Verordnung verlangt die Europäische Kommission eine Authentifizierung, die auf mindestens zwei Elementen der Kategorien Wissen, Besitz und Inhärenz basieren muss „und die Generierung eines Authentifizierungscodes nach sich [zieht].“ Insoweit bedeutet „Wissen“ eine klassische PIN oder Benutzerkennung, „Besitz“ das persönliche Smartphone oder ein TAN-Generator und „Inhärenz“ ein biometrisches Merkmal, beispielsweise den Fingerabdruck, die Stimme oder Gesichtserkennung.

Neben der bisherigen einfachen Anmeldung mit Benutzerkennung und PIN muss nun also zwingend ein zweites Verfahren verwendet werden, sei es mit Hilfe eines SMS-, TAN- oder generierten Codes oder durch die Abfrage eines biometrischen Merkmals während des Zahlungsvorgangs mit dem Smartphone.

Die starke Authentifizierung soll nach Artikel 5 der Verordnung explizit den einzelnen Zugriff auf das Konto oder den Zahlungsvorgang betreffen.

Somit lässt sich sagen, dass die Zwei-Faktor-Authentifizierung wie man sie von bereits von Pattformen wie Google, Facebook, Microsoft oder Valve mit Hilfe einer „Authenticator“-App kennt, bei allen Online-Transaktionen genutzt werden muss.

Allerdings erlaubt Art. 10 der Verordnung, dass der Kunde („Zahlungsdienstenutzer“) nicht bei jedem Zugriff auf sein Onlinekonto eine starke Authentifizierung durchführen muss. Dies ist lediglich beim ersten Zugriff oder nach 90 Tagen erforderlich. Des Weiteren erlaubt Art. 13 eine „Liste der vertrauenswürdigen Empfänger“ (sozusagen eine White-List), die der Nutzer selbst erstellen kann, für die keine starke Kundenauthentifizierung verlangt werden muss.
Auch an der Kasse im Supermarkt oder Kaufhaus wird es Änderungen geben. So soll das kontaktlose Bezahlen auf fünfmal ohne starke Authentifizierung beschränkt sein. Zudem darf der Einzelbetrag nicht 50 € und der Gesamtbetrag seit der letzten Authentifizierung nicht 150 € übersteigen (vgl. Art. 11 Verordnung (EU) 2018/389).

Im Vorfeld der Umsetzung gab es von Seiten der Banken und Fintech-Unternehmen, die selbst die entsprechenden Schnittstellen anbieten, scharfe Kritik. Die entsprechenden Softwarelösungen seien nicht marktreif und weder Richtlinie noch Verordnung erlaubten Einschränkungen, sollten die Zahlungsdienste nicht entsprechend der neuen Regelungen angeboten werden können. Insofern gab es Kritik an der Zielrichtung der ursprünglichen Richtlinie, die den Markt den Anbieter für Banking Applikationen öffnen möchte, sodass auch sogenannte Multibanking-Apps ermöglicht werden, mit denen der „Zahlungsdienstenutzer“ auf mehrere Konten unterschiedlicher Banken zugreifen kann.

Genau bei den Schnittstellen zwischen Banken und anderen Unternehmen (z.B. Zahlungsdienstleister, Händler) gibt es mitunter Schwierigkeiten und somit Ängste, dass technisch noch nicht rechtskonforme Umsetzungen ab dem Stichtag (14.09.2019) nicht mehr genutzt werden dürfen.
Mitte August nahm die Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht) mit einem Rundschreiben, das der Seite finanz-szene vorliegt, der Angst den Wind aus den Segeln. Die Umsetzungspflicht soll für die Banken und Online-Shops deutlich aufgeweicht werden. Seitens der Bafin wurde kein konkreter neuer Stichtag genannt.
Insofern sollte sich weiter um eine Lösung bemüht werden, allerdings können bestehende Lösungen vorübergehend weiter genutzt werden.

Fazit

Für Onlineshops bleibt festzuhalten, dass die Bezahloption „Vorkasse“ von der neuen Rechtslage nicht berührt wird, da der Zahler selbst seine Überweisung über seinen Bankdienstleister authentifizieren muss.
Alle anderen Zahlungsmöglichkeiten, welche der neuen Verordnung noch nicht entsprechen können aber dennoch weiter genutzt werden, bis eine rechtskonforme Variante vom Anbieter der Schnittstelle zur Verfügung steht.

Für Panikreaktionen besteht also kein Grund, im Zweifelsfall sollte man sich an seine Zahlungsdienstleister wenden, wenn man diesbezüglich noch keine Informationen erhalten hat.

 

Bei diesem Artikel handelt es sich um einen Gastbeitrag von Nicolas Kutschera (Xing, LinkedIn).

 

 



Johannes Kutschera

Sorgt dafür, dass Lorem Ipsum von Websites verschwindet, schubst Pixel und testet unsere Software.

Veröffentlicht in IT-Sicherheit am 15.09.19

Ähnliche Artikel